Исследователи из RedHunt Labs
Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
RedHunt Labs, при содействии журналистов издания
Неизвестно, содержались ли в репозиториях какие-то данные о клиентах компании. Пока автопроизводитель подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки». Но компания сообщает, что не может делиться каким-либо техническими подробностями инцидента из соображений безопасности, поэтому пока неясно, успели ли третьи лица получить несанкционированный доступ к данным компании, пока токен был доступен всем желающим.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в публичном репозитории забытый токен GitHub, принадлежащий сотруднику Mercedes-Benz. Токен давал доступ к серверу GitHub Enterprise компании и раскрывал множество внутренних данных.
Как и многие автопроизводители, Mercedes-Benz использует различный софт в своих автомобилях и сервисах, включая системы безопасности и контроля, инфотейнмент-системы, системы автономного вождения, диагностические и сервисные инструменты, системы для работы связи и телематики, а также системы для управления электропитанием и аккумуляторами (для электромобилей).
Специалисты RedHunt Labs рассказывают, что токен попал в открытый доступ еще 29 сентября 2023 года.
«Токен GitHub предоставлял неограниченный и неконтролируемый доступ ко всему исходному коду, размещенному на внутреннем сервере GitHub Enterprise, — пишут эксперты в отчете. — В результате инцидента стали доступны конфиденциальные репозитории, содержащие огромное количество интеллектуальной собственности компании. Так, скомпрометированная информация включала строки для подключения к базам данных, ключи доступа к облаку, чертежи, проектную документацию, пароли SSO, ключи API и другую важную внутреннюю информацию».
Исследователи объясняют, что утечка таких данных может иметь серьезные последствия. Например, может привести к тому, что конкуренты займутся реверс-инжинирингом запатентованных технологий, а хакеры будут тщательно изучать код в поисках потенциальных уязвимостей в автомобильных системах.
Кроме того, утечка ключей API может привести к несанкционированному доступу к данным, нарушению работы сервисов и использованию инфраструктуры компании с вредоносными целями.
RedHunt Labs, при содействии журналистов издания
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, уведомила Mercedes-Benz об утечке токена 22 января 2024 года, а через два дня компания отозвала его, заблокировав доступ всем, кто мог им злоупотреблять.Неизвестно, содержались ли в репозиториях какие-то данные о клиентах компании. Пока автопроизводитель подтвердил, что «исходный код, содержащий токен доступа, был опубликован в публичном репозитории GitHub в результате человеческой ошибки». Но компания сообщает, что не может делиться каким-либо техническими подробностями инцидента из соображений безопасности, поэтому пока неясно, успели ли третьи лица получить несанкционированный доступ к данным компании, пока токен был доступен всем желающим.
Для просмотра ссылки необходимо нажать
Вход или Регистрация